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摘要 


网 络 (特别 是 虚拟 专用 网 络 ) 的 配置 验证 是 一 项 复杂 的 任 
务 ， 在 生产 环境 的 每 次 更 新 之 前 都 需要 进行 ， 以 便 网 络 提 供 商 
可 以 确保 其 客户 的 网 络 可 用 性 。 本 文 探讨 了 一 种 基于 图 神经 网 
28 (GNN) 的 方法 , 用 于 检测 和 定位 IP 虚拟 专用 网 络 (VPN) 
中 的 配置 错误 。 研 究 着 重 于 两 种 GNN 模型 ， 一 种 专注 于 客户 
和 提供 商 边 缘 路 由 器 之 间 的 路 由 配置 错误 ， 另 一 种 专注 于 不 同 
提供 商 边 缘 路 由 器 之 间 的 VPN 路 由 错误 。 其 目标 是 提供 一 种 
工具 ， 简 化 验证 端 到 端 VPN 配置 的 过 程 。 

在 研究 中 ， 使 用 了 平衡 的 数据 集 来 训练 这 两 个 模型 ， 这 个 
数据 集 包 含 了 从 基于 IMSNetworks 部 署 的 VPN 中 提取 的 标 
记 配 置 的 示例 。 结果 显 示 , 这 两 个 模型 在 处 理 不 同 规模 的 VPN 

(从 3 到 40 个 站 点 ) 和 两 种 类 型 的 架构 〈 全 网 状 和 中 心 辐 射 
型 ) 时 都 表现 出 很 高 的 准确 性 。 

这 种 方法 的 优势 在 于 通过 图 神经 网 络 可 以 捕捉 网 络 拓 扑 
和 配置 之 间 的 复杂 关系 ， 从 而 更 有 效 地 检测 配置 错误 。 通 过 使 
用 这 种 技术 ,网 络 提供 商 可 以 在 每 次 更 新 之 前 对 网 络 配置 进行 
验证 ， 以 确保 其 客户 的 网 络 可 用 性 。 
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Detection And Location Of Misconfiguration Of 
GNN-Based IP VPN 


ABSTRACT 


Configuration verification of networks, especially virtual private 
networks, is a complex task that needs to be done before every update of 
a production environment so that network providers can ensure network 
availability for their customers. This paper discusses a graph-based neural 
network (GNN) approach for detecting and locating configuration errors 
in IP virtual private networks (VPNS). The study focuses on two GNN 
models, one that focuses on routing misconfigurations between customer 
and provider edge routers, and the other on VPN routing 
misconfigurations between different provider edge routers. The goal is to 
provide a tool that simplifies the process of verifying an end-to-end VPN 
configuration. 

In the study, both models were trained using a balanced dataset 
containing examples of tag configurations extracted from an 
IMSNetwork-based VPN deployment. The results show that both models 
show high accuracy when dealing with VPNS of different sizes (from 3 to 
40 sites) and two types of architectures (full mesh and hub radiant). 

The advantage of this method is that the graph neural network can capture 
the complex relationship between network topology and configuration, so 
that configuration errors can be detected more effectively. By using this 
technology, network providers can validate network configurations before 


each update to ensure network availability for their customers. 


KEYWORDS:Network Management, Configuration Error Detection, 
Deep Learning, Graph Neural Networks 
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随 着 信息 技术 的 迅 独 发 展 ,， 企业 和 组 织 对 于 网 络 安全 的 关注 也 日 益 增 强 。 在 
众多 网 络 安全 威 肋 中，IP VPN (internet Protocol Virtual PrivateNetwork) 的 配置 
错误 可 能 导致 严重 的 安全 隐患 和 性 能 问题 。 

BGP/MPLSIP 虚拟 专用 网 络 (VPN)[1] 是 一 种 广泛 使 用 的 技术 ,用 于 互 连 公司 的 
远程 站 点 并 为 其 提供 Internet 访问 。 在 网 络 服务 提供 商 内 ，VPN 的 数量 的 增加 会 
导致 配置 复杂 性 的 增加 ， 这 可 能 会 导致 错误 ， 从 而 影响 客户 站 点 的 可 达 性 。 

防止 网 络 配置 错误 的 传统 方法 通常 需要 指定 一 组 模板 或 一 系列 形式 约束 来 

验证 配置 的 有 效 性 《〈 例 如， 检查 类 型 正确 性 )。 
外 保 约束 完整 性 并 手动 更 新 它们 是 很 一 般 的 问题 。 也 就 是 说 , 我 们 如 何 确 保 
验证 配置 的 规则 集 是 完整 的 ? 配置 是 否 完全 履 盖 ?从 语法 和 结构 的 角度 来 看 , 配 
置 确实 可 能 是 有 效 的 , 但 对 于 服务 提供 商 的 目标 来 说 是 不 完整 的 。 例如， 态 记 在 
边缘 路 由 器 上 激活 客户 的 路 由 表 将 导致 VPN 丢失 站 点 ， 尽 管 其 他 路 由 器 上 的 配 
置 是 正确 的 。 

IP VPN 是 一 种 通过 在 公共 互联 网 连接 上 创建 私人 网 络 来 实现 安全 通信 的 技 
术 。VPN 利用 加 密 和 隧道 协议 确保 通过 互联 网 传输 的 数据 的 机 密 性 和 完整 性 。 企 
业 通 常 使 用 IP VPN 为 远程 员工 提供 安全 通信 ， 连 接 分 文 办 事 处 ， 并 确保 敏感 数 
据 的 机 密 性 。 个 人 用 户 使 用 VPN 进行 安全 浏览 ， 访 问 受 地 区 限制 的 内 容 以 及 保 
持 隐 私 。 然 而 ， 由 于 网 络 拓扑 结构 复杂 、 配 置 参数 众多 ， 以 及 不 断 变化 的 业务 需 
求 , IP VPN 的 配置 容易 受到 影响 , 从 而 引发 各 种 问题 , 比如 安全 漏洞 、 性 能 下 降 、 
服务 中 断 等 、 依 赖 第 三 方 服务 、 单 点 故障 等 等 。 

为 了 有 效 地 识别 和 纠正 这 些 配置 错误 , 传统 的 方法 通常 需要 人 工分 析 大 量 的 
配置 文件 和 网 络 日 志 , 耗 时 长 且 容 易 出 错 。 而 图 神经 网 络 能 够 学 习 网 络 拓扑 结构 
和 配置 参数 之 间 的 复杂 关系 , 通过 对 网 络 图 的 学 习 ， 能 够 在 大 规模 网 络 中 自动 发 
现 潜 在 的 配置 问题 。 

本 文 研究 了 一 种 已 有 的 系统 中, 通过 图 神经 网 络 对 IP VPN 进行 深度 学 习 ， 从 
而 实现 对 配置 错误 的 实时 监测 和 定位 。 通 过 该 系统 , 网络 管理 员 可 以 更 及 时 地 发 
现 潜在 的 问题 并 采取 相应 的 措施 ， 从 而 提高 网 络 的 安全 性 和 性 能 稳定 性 。 
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第 1 章 绪论 
1.1 研究 背景 及 意义 


第 3 层 虚 拟 专 用 网 络 是 一 种 网 络 服务 ， 这 是 最 常见 的 VPN 类 型 ， 通 常 称 为 
IP VPN。 它 在 网 络 层 〈 第 3 层 ) 上 工作 ， 利 用 互联 网 在 不 同 地 理 位 置 的 网 络 之 间 
建立 私密 通信 通道 。IPsecVPN 和 SSLVPN 都 属于 这 一 类 。 

这 些 VPN 允许 不 同 客户 站 点 之 间 通 过 互联 网 服务 提供 商 〈ISPs) 的 核心 网 络 
互相 连接 ， 同 时 确保 每 个 客户 的 网 络 服务 质量 和 数据 流 隔 离 。 在 网 络 中 ， 有 一 些 
提供 商 边 缘 (PE) 路 由 器 ， 它 们 位 于 Isps 核心 网 络 的 边缘 。 每 个 PE 路 由 器 连接 
到 一 个 或 多 个 代表 不 同 客 户 站 点 的 设备 ， 通 常 被 称 为 客户 边缘 (CE) 路 由 器 。 

提供 基于 多 协议 标签 交换 (MPLS) 结构 的 VPN 服务 需要 很 高 的 成 本 ， 主 要 
是 因为 这 项 服务 需要 大 量 的 设备 和 人 力 投 入 。 首 先 ， 需 要 购买 很 多 路 由 器 和 其 他 
网 络 设备 ， 因 为 这 种 服务 需要 一 个 强大 的 网 络 架 构 来 支持 。 其 次 ， 需 要 雇佣 专业 
的 网 络 工程 师 来 设计 和 配置 这 些 设备 ， 这 需要 花费 很 多 时 间 和 人 力 成 本 。 此 外 ， 
这 种 服务 还 需要 持续 的 维护 和 管理 ， 以 确保 网 络 的 稳定 性 和 安全 性 , 这 也 是 一 项 
长 期 且 持续 的 成 本 。 总 的 来 说 ， 这 种 服务 是 一 项 高 成 本 、 高 技术 含量 的 服务 ， 通 
常 只 适用 于 大 型 企业 或 机 构 等 有 高 度 需求 的 客户 。 对 于 一 般 的 小 型 或 个 人 用 户 来 
说 ， 可 能 无 法 承受 这 样 的 成 本 ， 也 不 太 可 能 需要 这 样 的 服务 。 

配置 服务 提供 商 的 骨干 网 是 一 项 至 关 重 要 且 复 杂 的 任务 , 需要 对 细节 进行 精 
细 入 微 的 处 理 。 上 骨干 网 作为 向 多 个 客户 提供 可 靠 和 高 效 连接 的 基础 ,其 配置 涉及 
在 所 有 骨干 路 由 器 上 部 署 一 系列 协议 ,包括 内 部 网 协议 (GP)、MPLS 和 MP-BGP。 

然而 , 骨干 网 配置 过 程 的 复杂 性 要 求 精确 实施 协议 ， 以 在 路 由 器 之 间 实 现 无 
颖 通信 。IGP 在 服务 提供 商 网 络 内 传播 路 由 信息 ， 确 保 选 择 最 佳 路 径 。 引 入 MPLS 

虽 了 流量 工程 能 力 , 而 MP-BGP 用 于 在 不 同 自治 系统 (AS) 之 间 交 换 路 由 信息 。 
尽管 涉及 复杂 性 , 一 旦 骨干 网 配置 完成 ， 它 往往 相对 静态 ， 最 小 化 了 频繁 修改 的 
可 能 性 。 

与 骨干 网 相 比 ，VPN 路 由 和 转发 表 (VRF) 表 和 CE-PE 路 由 的 配置 是 服务 提 
供 商 运营 中 更 为 动态 且 容 易 出 错 的 方面 。 不 断 添加 、 修 改 和 删除 客户 站 点 引入 了 
较 高 的 变异 性 , 使 这 个 过 程 更 容易 受到 人 为 错误 的 影响 。 每 个 客户 站 点 的 独特 需 


求 要 求 对 细节 进行 仔细 处 理 , TT ES A A] BY SIS Td aZ A] 
端 到 端 连接 的 中 断 。 

随 着 服务 提供 商 网 络 规模 的 扩大 ， 容纳 越 来 越 多 的 客户 和 站 点 , 配置 错误 的 
可 能 性 逐渐 升 高 。 这 些 错误 可 能 表现 为 VRF 实例 的 配置 错误 、CE-PE 路 由 参数 的 
错误 或 在 处 理 特 定 客户 流量 时 的 不 一 致 性 。 这些 错 误 的 后 果 不 仅 限于 个 别 客户 站 
点 ， 还 可 能 影响 整体 服务 质量 和 客户 满意 度 。 

1-1 展示 了 BGP/MPLS IP 的 简单 示例 。 共 包含 三 个 用 户 ， 客 户 A 有 一 个 
全 网 状 VPN 互 连 其 三 个 站 点 (A1、A2 和 A3)。 客 户 B 有 一 个 中 心 辐射 型 VPN， 
有 具有 特定 的 路 由 策略 ， 人 允许 B2 和 B3 仅 与 B1 fa. Ba, BPC 的 VPN 仅 互 
连 两 个 站 点 (Cl 和 C3) 


+--p CE-PE routing ! mer 


图 1-1 BGP/MPLS L3 VPN 网 络 拓扑 的 示例 


1.2 研究 内 容 及 文章 结构 


在 本 文中 , 我 们 研究 了 一 种 基于 图 神经 网 络 (GNN) 的 方法 来 检测 和 定位 IP 
虚拟 专用 网 络 (VPN) 中 的 配置 错误 。 研 究 了 两 种 GNN 模型 ， 一 种 针对 客户 和 
提供 商 边缘 路 由 器 之 间 的 路 由 配置 错误 , 另 一 种 针对 不 同 提供 商 边缘 路 由 器 之 间 
的 VPN 路 由 错误 。 

本 文 共 分 为 五 个 章节 ， 各 个 章节 内 容 如 下 : 


是 对 网 络 管理 中 用 到 深度 学 习 和 图 神经 网 络 的 概述 以 及 研究 现状 。 

介绍 了 所 研究 的 两 种 使 用 GNN 来 解决 IP VPN 配置 的 模型 。 
介绍 了 两 种 GNN 模型 的 训练 及 训练 集 。 

实验 结果 及 评价 指标 。 


第 2 章 网 络 管理 及 图 神经 网 络 
2.1 网 络 管理 的 研究 现状 


近年 来 , 依靠 机 器 学 习 进 行 网 络 管理 引起 了 人 们 的 广泛 关注 [3]、[4], 文献 [5] 
用 不 同 深度 的 CNN 建立 了 一 种 实用 的 监控 网 络 智能 管理 系统 架构 ， 实 现 了 利用 
IP 监控 网 络 的 真实 数据 对 模型 进行 评估 。 

一 种 能 够 在 基站 (BS ) 进 行 辐射 功率 管理 的 密集 无 线 接 入 网 络 (dense-RAN )。 
在 用 户 流 量 和 可 实现 速率 的 约束 下 ,协同 管理 多 基站 的 辐射 功率 水 平 ,可 以 提高 
网 络 的 长 期 效能 。 作 者 为 了 解决 复杂 性 和 性 能 之 间 的 权衡 问题 ， 使 用 深度 Q 网 
络 (DQN) 对 具有 乘法 复杂 性 约束 的 多 基站 能 效 的 整体 优化 进行 建 模 ， 以 实现 
接近 最 优 的 性 能 [6] 

网 络 流量 管理 是 现代 VCPS 场景 中 最 大 的 问题 , 因为 网 络 资源 管理 不 善 可 能 
会 降低 最 终 用 户 的 服务 质量 (QoS). 为 了 解决 这 个 问题 [7] 提 出 了 一 种 支持 软件 定 
义 网 络 (SDN) 的 方法 ， 名 为 SeDaTive， 它 使 用 深度 学 习 架 构 来 控制 VCPS 环境 
中 网 络 中 的 传 入 流量 。 在 网 络 流量 控制 中 使 用 深度 学 习 的 优势 在 于 , 它 可 以 学 习 
数据 包 中 的 隐藏 模式 ， 并 根据 学 习 到 的 特征 创建 最 佳 路 由 。 较 小 小 区 的 部 署 不 可 
避免 地 会 导致 更 频繁 的 切换 ， 从 而 使 移动 性 管理 更 具 挑 战 性 ， 并 减少 密集 网 络 部 
署 所 提供 的 容量 增益 。 为 了 在 这 种 网 络 环境 中 充分 获得 移动 用 户 的 收益 加， 提出 
了 一 种 通过 基于 深度 学 习 的 移动 性 预测 进行 移动 性 管理 的 智能 双 连 接 机 制 。 大 多 
数 现 有 方法 应 用 离散 化 来 逼近 实际 鸭 驶 条 件 下 的 连续 最 优 值 , 这 导致 性 能 相对 较 
低 ， 并 且 存 在 离散 化 误差 和 维 数 灾难 。 
基于 BP 神经 网 络 和 MTLBO 算法 , [7] 建 立 了 MTLBO-BP 神经 网 络 预测 模型 并 
测试 了 其 性 能 。 通过 强化 学 习 公 式 对 投资 组 合 管理 进行 建 模 的 概念 是 新 颖 的 , 深 
度 Q 网 络 最 近 已 成 功 应 用 于 投资 组 合 管理 。 引 入 了 一 个 基于 分 层 深度 
QNetwork 的 框架 ， 该 框架 通过 减少 分 配给 每 个 深度 Q 网 络 的 资产 数量 并 将 总 
投资 组 合 价 值 划分 为 较 小 的 部 分 来 解决 零 佣金 问题 。 网 络 切片 和 深度 强化 学 习 
(DRL) 是 实现 5G 和 6G 网 络 的 重要 推动 因素 。 使 用 强化 学 习 (RL) 和 DRL 算 
法 自主 实现 每 个 阶段 的 方法 。 

然而 ,尽管 深度 学 习 已 近 在 网 络 管理 中 的 应 用 很 多 ， 有 很 多 的 优秀 案例 ， 深 
度 学 习 很 少 用 于 检测 网 络 中 的 故障 ， 特 别 是 在 网 络 配置 中 的 故障 检测 IP VPN 的 
个 数 。 
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2.2 图 神经 网 络 的 概述 
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管 传 统 的 深度 学 习 方 法 被 应 用 在 提取 欧 氏 空间 数据 的 特征 方面 取得 了 巨 
大 的 成 功 , 但 许多 实际 应 用 场景 中 的 数据 是 从 非 欧式 空间 生成 的 ,传统 的 深度 学 
习 方 法 在 处 理 非 欧 式 空间 数据 上 的 表现 却 仍 难以 使 人 满意 ,例如 ,在 电子 商务 中 ， 
一 个 基于 图 《Graph) 的 学 习 系 统 能 够 利用 用 户 和 产品 之 间 的 交互 来 做 出 非常 准 
确 的 推荐 ， 但 图 的 复杂 性 使 得 现 有 的 深度 学 习 算 法 在 处 理 时 面临 着 巨大 的 挑战 。 
这 是 因为 图 是 不 规则 的 , 每 个 图 都 有 一 个 大 小 可 变 的 无 序 节点 , 图 中 的 每 个 节点 
都 有 不 同 数 量 的 相 邻 节点 ， 导 致 一 些 重 要 的 操作 (例如 卷 积 ) 在 图 像 〈Image) 
上 很 容易 计算 ， 但 不 再 适合 直接 用 于 图 。 此 外 ， 现 有 深度 学 习 算 法 的 一 个 核心 假 
设 是 数据 样本 之 间 彼 此 独立 。 然 而 ， 对 于 图 来 说 ， 情 况 并 非 如 此 ， 图 中 的 每 个 数 
据 样 本 《节点 ) 都 会 有 边 与 图 中 其 他 实数 据 样本 (节点 ) 相关 ， 这 些 信息 可 用 于 
捕获 实例 之 间 的 相互 依赖 关系 。 

近年 来 ， 人 们 对 深度 学 习 方法 在 图 上 的 扩展 越 来 越 感 兴趣 。 在 多 方 因 素 的 成 
功 推 动 下 , 研究 人 员 借 鉴 了 卷 积 网 络 、 循 环 网 络 和 深度 自动 编码 器 的 思想 ,定义 
和 设计 了 用 于 处 理 图 数据 的 神经 网 络 结构 ， 由 此 一 个 新 的 研究 热点 一 一 “图 神经 
网 络 (Graph Neural Networks，GNN)” 应 运 而 生 。 

为 了 能 够 明确 表示 VPN 中 涉及 的 不 同 路 由 器 之 间 的 关系 ， 有 人 开始 研究 图 
神经 网 络 (GNN), 这 是 一 种 专用 于 图 结构 化 数据 的 神经 网 络 , 最 近 受 到 了 广泛 关 
TE [9]、[10 ]。 GNN 模型 由 分 布 在 一 组 层 上 的 多 个 计算 模块 组 成 。 图 卷 积 网 络 

(GCN) 是 用 于 在 节点 之 间 传 播 信息 的 最 著名 的 计算 模块 之 一 [11]。 图 的 每 个 节 
点 都 能 入 了 一 组 特征 ,这 些 特征 在 每 次 迭代 时 与 其 邻居 的 特征 聚合 。 还 存在 其 他 
卷 积 层 ， 例 如 边缘 条 件 卷 积 〈ECC) 层 ， 其 中 可 以 将 边缘 标签 添加 到 图 中 以 调节 
邻居 之 间 的 信息 扩散 [12]。 设 计 GNN 模型 需要 一 系列 步 又， 首先 指定 输入 图 的 
结构 和 类 型 , 然后 定义 学 习 任 务 。 根 据 问题 的 表述 , 可 以 有 多 种 类 型 的 学 习 任 务 。 
学 习 任 务 的 示例 是 节点 分 类 例如， 学 习 节 点 的 新 特征 ) 或 图 分 类 《〈 例 如， 推断 
图 本 身 的 属性 )， 如 图 2-2 所 示 。 在 我 们 的 上 下 文中 ， 将 每 个 VPN 建 模 为 图 形 
将 使 我 们 能 够 捕获 VPN 的 逻辑 拓扑 ， 这 对 配置 参数 及 其 依赖 性 有 直接 影响 。 
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此 外 ， 使 用 图 数据 结构 比 经 典 数 据 结 构 〈 例 如 向 量 、 树 ) 提供 了 更 好 的 表达 
能 力 。 因 此 ， 通 过 依赖 GNN， 我 们 希望 能 够 针对 比 之 前 的 工作 更 复杂 的 网 络 以 
及 更 多 的 配置 错误 [8]。 
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图 2-2 GNN 模型 图 
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第 3 章 L3 VPN 配置 数据 模型 
3.1 两 种 GNN 解决 VPN 配置 的 模型 


当 使 用 图 神经 网 络 (GNN) 来 解决 VPN 配置 问题 时 ， 两 个 主要 挑战 是 处 理 
不 同 站 点 之 间 的 配置 参数 和 策略 ， 以 及 客户 子 网 的 集成 。 这 涉及 到 节点 特征 的 处 
理 和 配置 参数 之 间 的 相互 依赖 性 。 

首先 ， 对 于 节点 特征 的 处 理 ，GNN 要 求 所 有 节点 的 特征 数量 和 类 型 相同 。 
考虑 到 设备 可 能 具有 不 同 的 配置 参数 , 可 以 采取 一 些 方法 来 解决 这 个 问题 。 一 种 
方法 是 通过 特征 对 齐 ， 将 不 同 配置 参数 的 设备 映射 到 相同 的 特征 空间 。 这 可 以 通 
过 特征 转换 网 络 或 僚 入 层 来 实现 。 另 一 种 方法 是 采用 分 层 模 型 ， 为 每 个 设备 类 型 
设计 一 个 独立 的 GNN 子 模型 ， 使 每 个 子 模型 专注 于 特定 设备 类 型 的 配置 参数 。 

其 次 , 配置 参数 之 间 的 相互 依赖 性 是 另 一 个 重要 考虑 因素 。 在 图 结构 设计 方 
面 , 可 以 使 用 合适 的 图 结构 来 表示 配置 参数 之 间 的 依赖 关系 , 例如 使 用 不 同类 型 
的 边 表示 不 同类 型 的 依赖 关系 。 为 了 更 好 地 捕获 这 些 关 系 , 可 以 引入 子 图 级 别 的 
注意 力 机 制 ， 使 模型 能 够 专注 于 处 理 特定 类 型 设备 的 配置 参数 。 

在 解决 故障 识别 任务 的 配置 时 , 可 以 考虑 将 整体 任务 分 解 为 多 个 子 任务 , 每 
个 子 任务 关注 于 特定 类 型 的 设备 或 配置 参数 。 这 有 助 于 降低 学 习 任 务 的 复杂 性 。 
同时 ， 使 用 多 个 GNN 模型 ， 并 通过 融合 这 些 模型 的 输出 来 得 到 对 整体 配置 问题 
的 综合 理解 ， 也 是 一 个 有 效 的 策略 。 

综合 来 说 ， 通 过 特征 对 齐 、 分 层 模型 、 图 结构 设计 和 任务 分 割 等 方法 ， 可 以 
在 GNN 中 更 有 效 地 处 理 VPN 配置 问题 中 的 多 样 性 配置 参数 和 复杂 的 相互 依赖 性 。 
事实 上 , 在 GNN 中 ， 所 有 节点 的 特征 数量 和 类 型 必须 相同 ， 而 对 于 具有 不 
同 配置 参数 的 PE 和 CE 设备 则 并 非 如 此 。 

选择 两 种 不 同 模型 的 另 一 个 主要 原因 与 识别 故障 时 配置 参数 之 间 的 相互 依 
赖 性 有 关 。 将 所 有 类 型 故障 的 所 有 配置 参数 合并 到 同一 模型 中 将 再 次 增加 学 习 任 
务 的 复杂 性 。 例如, 影响 CE 和 PE 路 由 器 之 间 数 据 转发 的 故障 仅 取决 于 这 两 个 设 
备 的 配置 。 相 反 ， 影 响 特定 客户 站 点 间 数 据 转 发 的 故障 取决 于 该 客户 VPN 涉及 
的 PE 路 由 器 上 部 署 的 所 有 VRF。 


3.2PE-PE 路 由 模型 


这 个 模型 的 目标 是 使 用 图 神经 网 络 (GNN) 来 检测 和 识别 VPN 配置 中 的 错 
误 。 在 这 个 模型 中 ， 每 个 图 表示 一 个 VPN， 图 的 节点 代表 不 同 的 PE 路 由 器 ， 
而 边 表示 这 些 路 由 器 之 间 的 连接 。 

我 们 关注 的 错误 包括 在 PE 路 由 器 上 未 创建 VRF， 或 者 在 VRF 上 配置 参数 
普 误 ， 如 路 由 标识 符 CRD) 和 路 由 目标 CRT)。 此 外 ， 对 于 非 全 网 状 VPN 设置 ， 
我 们 还 关注 路 由 策略 参数 的 错误 。 

每 个 节点 都 嵌入 了 有 关 该 节点 上 VPN 配置 的 信息 ， 而 图 的 边缘 上 使 用 二 进 
制 特 征 来 指示 两 个 节点 之 间 是 否 应 该 进行 通信 。 这 种 图 表示 使 得 GNN 能 够 学 习 
节点 之 间 的 关系 和 拓扑 信息 ， 从 而 检测 和 识别 配置 错误 。 

总 体 而 言 ， 这 个 方法 通过 将 网 络 配置 表示 为 图 ， 并 利用 图 神经 网 络 的 强大 能 
力 来 处 理 和 理解 复杂 的 网 络 拓扑 和 配置 关系 ， 从 而 提高 了 检测 配置 错误 的 效率 。 

通过 这 个 模型 ， 我 们 的 目标 是 进行 节点 分 类 。 对 于 每 个 图 〈 即 每 个 VPN), 
我 们 将 为 每 个 节点 ( 即 每 个 PE 路 由 器 ) 提供 一 个 输出 ， 指 示 该 节点 上 是 否 存在 
配置 错误 。 由 于 我 们 想 要 查 明 错误 ， 因 此 每 个 节点 的 输出 是 多 个 类 的 向 量 ， 每 个 
类 代表 一 个 可 能 的 错误 。 这 种 学 习 方法 称 为 监督 多 类 节点 分 类 。 在 我 们 的 上 下 文 
中 , 这 种 类 型 的 分 类 使 得 可 以 为 每 个 VPN 检测 和 定位 包含 VPN 配置 错误 的 PE 
路 由 器 ， 并 使 用 节点 的 输出 向 量 精确 识别 它们 。 


Configuration error | Node | 


Apply RT on export routing policy | PE | 


表 3-1PE-PE 模型 配置 故障 


表 3-1 列 出 了 我 们 考虑 的 不 同 错误 。 请 注意 ， 无 论 VPN 类 型 如 何 ， 都 必须 
始终 配置 VRF、RD 和 RT 参数 ， 而 路 由 策略 参数 仅 针 对 非 全 网 状 VPN 设置 。 


Customer A Customer B Customer C 


图 3-1PE-PE 的 三 个 VPN 的 三 个 图 结构 图 


3.3CE-PE 路 由 模型 


这 个 模型 的 任务 是 针对 每 个 CE-PE 连接 检测 和 识别 可 能 影响 CE 和 PE 路 由 器 
之 间 数 据 转发 的 配置 错误 。CE 指 的 是 Customer Edge, PE 指 的 是 Provider Edge. 
这 两 个 组 件 之 间 的 路 由 可 以 是 静态 的 ， 也 可 以 依赖 路 由 协议 。 表 3-2 列举 了 考虑 
的 到 所 有 可 能 的 故障 情况 。 这 些 错误 大 概 为 四 类 : VRF (虚拟 路 由 转发 )、 接 口 、 
eBGP 和 静态 路 由 。 

这 个 模型 的 方法 是 将 每 个 CE-PE 连接 表示 为 单独 的 图 ,其 中 每 个 图 包含 两 个 
节点 , 一 个 代表 CE 路 由 器 ， 另 一 个 代表 PE 路 由 器 。 每 个 节点 的 功能 指定 了 在 添 
加 、 更 新 或 删除 VPN 站 点 时 可 以 设置 或 修改 的 配置 参数 ,图 3-2 显示 了 BGP/MPLS 
L3 VPN 网 络 拓扑 的 示例 中 CE-PE 连接 的 图 表 结 构 。 

与 之 前 的 模型 不 同 ， 这 里 的 方法 是 为 每 个 图 而 不 是 每 个 节点 定义 输出 ， 实 现 
图 分 类 。 相 比 每 个 节点 有 一 个 输出 的 方式 ， 这 种 方法 减少 了 不 必要 的 复杂 性 。 
此 ， 该 学 习 方法 采用 了 有 监督 的 多 类 图 分 类 。 每 个 类 别 代 表 了 CE-PE 连接 上 可 能 
存在 的 故障 ， 比 如 接口 上 的 IP 地址 配置 错误 或 eBGP 会 话 上 的 问题 。 


图 3-2 CE-PE 的 三 个 VPN 的 三 个 图 结构 图 
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这 种 方法 的 目标 是 通过 学 习 CE-PE 连接 的 图 表示 来 检测 和 识别 配置 错误 。 通 
过 输出 向 量 中 的 类 别 标签 , 模型 可 以 指示 特定 连接 上 存在 的 问题 类 型 , 帮助 网 络 
管理 人 员 及 时 纠正 配置 错误 ， 提 高 整个 网 络 的 稳定 性 和 可 维护 性 。 


Mask 
VRF assignation 


Neighbor IP address 
Neighbor AS number 
ubnet Announcement 


eBGP 


Static routing 


表 3-2 CE-PE 模型 配置 故障 
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第 4 章 两 种 模型 的 训练 
4.1 训练 集 


为 了 训练 和 评估 PE-PE 和 CE-PE 模 型 ,使 用 了 外 根据 IMSs Networks 客户 的 VPN 
配置 构建 了 两 个 数据 集 。IMS Networks 在 其 网 络 上 大 约 有 数 百 个 VPN， 每 个 VPN 
包含 分 布 在 20 个 提供 商 边 缘 路 由 器 上 的 10 到 30 个 远程 站 点 。 这 些 VPN 大 部 分 
都 是 全 网 状 VPN。 但 是 ， 某 些 VPN 有 具 有 中 心 辐射 型 拓扑 ， 需 要 特定 的 路 由 策略 

《以 允许 VPN 的 所 有 站 点 仅 与 称 为 中 心 的 唯一 中 心 站 点 进行 通信 )。 由 于 监督 机 
器 学 习 方法 需要 大 量 标记 数据 ， 必 须 通过 在 网 络 主干 上 生成 随机 VPN 来 生成 更 
多 配置 示例 。 为 了 获得 平衡 的 数据 集 ， 生 成 了 50% 全 网 状 VPN 和 50% 中 心 辐 射 
型 VPN。 对 于 配置 路 由 策略 的 PE-PE 模型 ， 需 要 执行 此 操作 。 在 训练 集中 ， 不 能 
简 简单 单 地 往 里 面 注 入 简单 的 错误 , 而 是 在 其 中 加 入 了 随机 错误 来 模拟 现实 中 的 
场景 。 

最 后 ， 获 得 了 两 种 类 型 的 1000 个 IP VPN 配置 : 全 网 状 和 中 心 辐射 型 ; 
正确 和 不 正确 的 配置 。 每 个 VPN 有 10 到 30 个 CE 路 由 器 ， 分布 在 20 个 PE 路 由 
器 上 。 这 些 配置 用 于 创建 两 个 数据 集 来 训练 和 评估 PE-PE 和 CE-PE 路 由 GNN 模型 。 
因此 ，PE-PE 路 由 数据 集 有 20 个 节点 的 1000 个 图 (每 个 VPN 一 个 )， 每 个 节点 
根据 它们 所 属 的 类 别 进行 标记 。CE-PE 路 由 数据 集 包含 20000 多 个 标记 图 ， 对 应 
于 所 有 VPN 的 所 有 CE-PE 连接 的 总 和 。 对 于 这 两 个 模型 , 使 用 70% 的 数据 进行 训 
练 ，10% 用 于 验证 ，20% 用 于 测试 。 以 上 数据 集中 的 节点 的 类 别 都 和 两 个 表 中 有 
所 对 应 。 
4.2GNN 两 种 模型 


Spektral 框架 被 用 于 构建 两 个 GNN 的 模型 PE-PE 路 由 模型 和 CE-PE 路 由 模 
型 。 这 两 个 模型 都 采用 Keras API 和 TensorFlow 2， 目 的 是 为 了 提供 一 个 灵活 的 框 


R 


PE-PE 路 由 模型 的 学 习 任务 是 节点 分 类 。 模 型 结构 包括 两 个 边缘 条 件 卷 积 
(ECC) 层 。 第 一 个 ECC 层 聚 合 每 个 节点 的 特征 及 其 邻居 节点 的 特征 ， 而 第 二 个 
ECC 层 作为 输出 层 用 于 对 每 个 节点 进行 分 类 。 选 择 ECC 层 是 因为 PE-PE 图 中 存在 
边缘 特征 ,它们 决定 了 节点 之 间 的 信息 通信 , 而 ECC 层 有 助 于 处 理 这 些 边缘 特征 ， 
从 而 实现 准确 的 节点 分 类 。 
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CE-PE 路 由 模型 包含 三 个 层次 。 首 先是 用 于 聚合 市 点 特征 的 Graph 
Convolutional Network (GCN) 层 。 接 下 来 是 一 个 池 化 层 , 采用 全 局 总 和 池 层 ， 从 节 
点 信息 中 提取 每 个 图 的 高 级 表示 。 最 后 ， 使 用 Keras 的 密集 层 来 计算 每 个 图 的 输 
出 ， 完 成 图 分 类 任务 。 

总 体 而 言 ， 这 两 个 模型 都 在 Spektral 框架 中 使 用 了 不 同 的 卷 积 层 和 池 化 层 ， 
以 适应 各 自 的 学 习 任 务 。PE-PE 路 由 模型 专注 于 节点 分 类 ， 而 CE-PE 路 由 模型 则 
处 理 图 分 类 任务 。 
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第 5 GNN 模型 性 能 评估 


Btn 


5.1 参数 及 评价 
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站 点 ( 即 CE 路 由 器 ) 的 VPN. 
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最 小 为 0。 


2 x Precision x Recall 


Precision + Recall 
使 用 80% 的 PE-PE 和 CE-PE 数据 集 进 行 训 练 和 验证 。 利 用 剩 下 的 20%, 
我 们 获得 PE-PE 路 由 模型 的 一 般 F1 分 数值 〈 即 所 有 类 别 的 F1 分 数 的 加 权 平 


均值 ) 为 94%，CE-PE 路 由 模型 为 98%。 


5.1 仿真 评价 


FI — score 


5.1.1PE-PE 模型 


EXEEREESEREEERERERESECEEERESERERERERERE RD REED 
KXX KKK KK KK KKK KKK KKK KKK 
`SS 
BRBRRHRRRRRBRRRRARRR: 
RSS SSSA SASS 


NNNNNNNNNNNNNNNNNNNNNNNNNNN 
BBB BIS 
bx 
WNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNY 
WARRARARRRARARRARRRE 


EEEESEEEEEEEEEEEEEERERERE EE EE EE 
RRA RANA 
ES 


2 4 St cy 2 
5 口 (= S (=) 


Ə1095S-Ţ4 / lle23Yy / UOISIDƏJd 


Fault classes 


E Fl-score | 


KS) Recall 


Precision 


图 5-1PE-PE 每 个 故障 类 型 的 性 能 
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5-1 绘制 了 使 用 包含 300 个 图 表 的 数据 集 计算 的 精确 度 、 召 回 率 和 F1 分 
数值 ,每 个 图 表 代 表 随 机 分 布 在 20 个 PE 路 由 器 上 的 10 到 30 个 CE 路 由 器 的 VPN。 
它 总 共 提 供 了 6000 个 PE 节点 进行 分 类 。1 至 8 类 对 应 于 表 3-1 中 列 出 的 配置 
错误 ，0 类 表示 节点 上 没有 错误 。 除 了 第 5 和 第 7 类 的 F1 分 数 接近 80%， 其 他 
的 F1 分 数值 均 接近 90%。 

5 类 和 7 类 表示 应 分 别 在 导入 和 导出 路 由 策略 上 配置 的 子 网 上 的 错误 。 这 两 
个 参数 用 于 中 心 辐射 型 VPN, 以 过 滤 要 导入 到 客户 路 由 表 中 或 从 客户 路 由 表 中 导 
出 的 路 由 。 该 模型 对 于 这 些 类 别 的 表现 不 佳 主要 有 两 个 原因 。 首 先 ， 该 子 网 参数 
在 数据 集中 没有 可 以 比较 或 关联 的 其 他 特征 〈 它 仅 出 现在 CE-PE 模型 中 客户 边缘 
路 由 器 的 其 他 位 置 )。 其 次 ， 训 练 数据 集 对 于 这 些 类 型 的 错误 是 不 平衡 的 。 事 实 
上 ， 中 心 辐射 型 VPN 占 训 练 数据 集中 VPN 的 50%， 这 使 得 路 由 策略 错误 的 代表 
性 低 于 任何 VPN 上 可 能 发 生 的 其 他 错误 。 

6 类 和 8 类 也 是 路 由 策略 上 的 错误 ， 但 重点 关注 路 由 目标 (RT) 值 《在 导入 策 
略 上 匹配 并 在 导出 策略 上 设置 )。 与 具有 子 网 的 5 类 和 7 类 相反 , 该 RT 值 与 同一 
PE 节点 上 客户 VRF 中 存在 的 RT 值 相关 。 

结果 表明 , 该 模型 可 以 学 习 表示 VRF 的 特征 与 路 由 策略 参数 之 间 存 在 的 关系 。 

5-2 所 示 的 条 形 图 证 实 了 之 前 的 结果 。 一 般 精度 、 召 回 率 和 F1 分 数值 是 
通过 在 三 种 不 同 的 数据 集 上 测试 PE-PE 模型 来 计算 的 : 一 种 仅 由 全 网 状 VPN 组 
成 ， 一 种 仅 由 中 心 辐射 型 VPN 组 成 ， 一 种 由 两 种 类 型 组 成 。 
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图 5-2 每 种 VPN 类 型 的 详细 性 能 
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该 图 表 可 以 清楚 地 看 出 ， 该 模型 在 全 网 状 VPN 〈 即 没有 路 由 策略 ) 下 学 习 
5.1.1CE-PE 模型 
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图 5-4 CE-PE 故障 分 类 后 的 性 能 


这 些 测 试 是 在 用 于 绘制 图 5-1 中 的 图 表 的 相同 数据 集 上 进行 的 。 由 于 该 模型 
中 有 多 种 类 型 的 错误 (30 K), 为 了 更 好 的 可 读 性 , 我们 选择 根据 它们 所 属 的 类 
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图 5-5 VPN 中 不 同 站 点 的 Fl 分 数 

5 显示 了 使 用 7 个 每 个 都 包含 300 个 VPN 数据 集 的 PE-PE 和 CE-PE 路 由 模 
型 的 F1 分 数 。 我 们 可 以 观察 到 , 改变 每 个 VPN 的 CE 数量 不 会 影响 CE-PE 路 由 模 
型 。 这 是 有 道理 的 ， 因 为 改变 CE 的 数量 不 会 改变 CE-PE 图 上 的 任何 内 容 ， 它 只 
会 改变 要 分 类 的 图 的 数量 。 对 于 PE-PE 路 由 模型 ， 每 个 VPN10、20 和 30 个 CE 
的 全 局 F1 分 数 与 图 3 中 绘制 的 平均 F1 分 数 相似 (大 约 90%)。 这 个 结果 是 一 致 
的 ， 因 为 该 模型 已 经 使 用 包含 具有 10 到 30 个 CE 路 由 器 的 VPN 的 数据 集 进 行 了 
训练 。 更 有 趣 的 结果 是 具有 3、5、40 和 50 个 客户 路 由 器 的 VPN 的 F1 分 数 。 尽 
管 训 练 数据 集中 不 存在 这 些 VPN 大 小 , 但 分 类 精度 非常 好 (F1 分 数 仅 降低 3% 或 
4%)， 表 明 学 习 过 程 泛 化 良好 ， 没 有 过 度 拟 合 。 
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在 本 文中 , 研究 了 一 
置 错误 。 


结论 


种 基于 图 神经 网 络 的 方法 来 检测 和 定位 IP VPN 中 的 配 


文章 的 研究 包含 两 个 不 同 的 GNN 模型 ， 每 个 模型 处 理 不 同 的 分 类 问题 。 


PE-PE 模型 执行 节点 分 类 ， 


错误 。CE-PE 模型 执行 图 


以 针对 每 个 图 预测 VRF 表 或 路 由 策略 上 可 能 的 配置 


分 类 以 预测 客户 -提供 商 路 由 


上 可 能 的 配置 错误 。 


按 错误 类 型 、VPN 拓扑 和 VPN 大 小 排序 的 不 同 数据 集 的 测试 结果 表明 ， 


检测 配置 错误 的 预测 准确 度 在 80% 到 90% ZE. J 


比 外 ， 对 训练 数据 集中 不 存 


在 的 VPN 模式 ( 即 具有 不 同 数 量 的 站 点 以 及 提供 商 边缘 路 由 器 上 的 不 同位 置 ) 
进行 的 测试 表明 性 能 仅 下 降 4%， 这 意味 着 模型 在 未 见 过 的 数据 上 表现 良好 。 
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